Metode de securizare a reelelor wireless

Prima astfel de reea a fost pus n funciune n 1971 la Universitatea din Hawai
sub forma unui proiect de cercetare numit ALOHANET. Topologia folosit era de tip stea
bidirecional i avea ca noduri constituente un numr de apte calculatoare mprtiate
pe patru insule din arhipelag ce comunicau cu un nod central aflat pe insula Oahu doar
prin legturi radio.

Figura 3.1 Posibiliti de conectare wireless, de aici i necesitatea securizrii accesului

Iniial, echipamentele WLAN erau destul de scumpe, fiind folosite doar acolo unde
amplasarea de cabluri ar fi fost tehnic imposibil. Ca i n alte cazuri din istoria tehnicii
de calcul, primele soluii produse pe scar larg au fost cele proprietare (nestandard) i
orientate pe diverse nie de pia, dar odat cu sfritul anilor 90 acestea au fost
nlocuite de cele standard i generice cum ar fi cele descrise de familia de standarde
802.11 emise de IEEE.

Versiunea iniial a standardului IEEE 802.11 lansat n 1997 prevedea dou viteze
(1 i 2 Mbps) de transfer a datelor peste infrarou sau unde radio. Transmisia prin
infrarou rmne pn astzi o parte valid a standardului, far a avea ns
implementri practice.

Au aprut atunci cel puin ase implementri diferite, relativ interoperabile i de

calitate comercial, de la companii precum Alvarion (PRO.11 i BreezeAccess-II),
BreezeCom, Digital/Cabletron, Lucent, Netwave Technologies (AirSurfer Plus i
AirSurfer Pro), Symbol Technologies (Spectrum24) i Proxim (OpenAir). Un punct slab
al acestei specificaii era c permitea o varietate mare a designului, astfel nct
interoperabilitatea era mereu o problem. 802.11 a fost rapid nlocuit (i popularizat) de
802.11b n 1999 ce aducea, pe lng multe mbuntiri n redactare, i o vitez
crescut de transmisie a datelor de pn la 11Mbps. Adoptarea pe scar larg a
reelelor 802.11 a avut loc numai dup ce 802.11b a fost ratificat ca standard, iar
produsele diverilor productori au devenit interoperabile.

Cam n aceeai perioad (1999) a aprut i 802.11a, o versiune pentru banda de

5GHz a aceluiai protocol. Acesta a fost urmat de 802.11g, n iulie 2003, ce aducea per formane sporite, att n ceea ce privete viteza de transmisie (ce urca la 54Mbps), ct
i distana de acoperire n jurul antenei.

Standardul aflat n prezent n elaborare de ctre IEEE este 802.11n acesta

aduce i el mbuntiri, cum ar fi o vitez teoretic de transmisie de 270Mbps.

Ca n cazul oricrei tehnici de transmisie sau comunicaie care se dezvolt rapid i

ajunge s fie universal folosit, apare la un moment dat necesitatea de a implementa
diverse tehnici de protecie a informatiilor transmise prin reelele de acest tip. n cazul
802.11, securitatea se refer att la topologia i componena reelei (i.e. asigurarea
accesului nodurilor autorizate i interzicerea accesului celorlalte n reea), ct i la
traficul din reea (i.e. gsirea i folosirea unei metode de securizare a datelor, de

criptare, astfel nct un nod care nu este parte din reea i care, deci, nu a fost
autentificat s nu poat descifra conversaiile dintre dou sau mai multe tere noduri
aflate n reea). Un ultim aspect al securitii l constituie autentificarea fiecrui nod,
astfel nct orice comunicaie original de un nod s poat fi verificat criptografic sigur
ca provenind, ntr-adevr, de la nodul n cauz.

Figura 3.2 Posibilitai de conectare folosind conexiuni wireless

Primele tehnici de securitate ce au fost folosite n astfel de reele au fost cele din
clasa security by obscurity, adic se ncerca atingerea siguranei prin meninerea
secret a specificaiilor tehnice i/sau prin devierea de la standard nu de puine ori n
msur considerabil. Aceste tehnici ns, aa cum s-a artat mai devreme, au adus n
mare parte neajunsuri implementatorilor, deoarece fceau echipamentele diferiilor
productori vag interoperabile. Alte probleme apreau din nsi natura proprietar a
specificaiilor folosite.
Tehnicile de generaia nti (WEP)

Prima tehnic de securitate pentru reele 802.11 ce a fost cuprins n standard

(implementat de marea majoritate a productorilor de echipamente) a fost WEP Wired Equivalent Privacy. Aceast tehnic a fost conceput pentru a aduce reelele
radio cel puin la gradul de protecie pe care l ofer reelele cablate un element
important n aceast direcie este faptul c, ntr-o reea 802.11 WEP, participanii la
trafic nu sunt protejai unul de cellalt, sau, altfel spus, c odat intrat n reea, un nod
are acces la tot traficul ce trece prin ea. WEP folosete algoritmul de criptare RC-4
pentru confidenialitate i algoritmul CRC-32 pentru verificarea integritii datelor. WEP
a avut numeroase vulnerabiliti de design care fac posibil aflarea cheii folosite ntr-o
celul (reea) doar prin ascultarea pasiv a traficului vehiculat de ea. Prin metodele din
prezent, o celul 802.11 WEP ce folosete o cheie de 104 bii lungime poate fi spart
n aproximativ 3 secunde de un procesor la 1,7GHz.

Filtrarea MAC

O alt form primar de securitate este i filtrarea dup adresa MAC (Media Access
Control address), cunoscut sub denumiri diverse precum Ethernet hardware address
(adres hardware Ethernet), adres hardware, adresa adaptorului de reea (adaptor sinonim pentru placa de reea), BIA - built-in address sau adresa fizic, i este definit
ca fiind un identificator unic asignat plcilor de reea de ctre toi productorii.

Adresa MAC const ntr-o secven numeric format din 6 grupuri de cte 2 cifre
hexadecimale (n baza 16) de tipul 00-0B-E4-A6-78-FB. Primele 3 grupuri de cte dou
caractere (n acest caz 00-0B-E4) identific ntotdeauna productorul plcii de reea
(RealTek, Cisco, etc.), iar urmtorii 6 digii identific dispozitivul n sine.

O form des utilizat de securizare a unei reele wireless rmne i aceast

filtrare dup adresa MAC. Aceast politic de securitate se bazeaz pe faptul c fiecare
adresa MAC este unic i aadar se pot identifica clar persoanele (sistemele) care vor
trebui s aib acces. Dac ntr-o prim faz aceast adres era fixat, noile adrese se
pot modifica, astfel aceast form de securizare i pierde din valabilitate. Totui dei
exist riscul ca prin aflarea unui MAC valid din cadrul unei reele, folosind un program

de tip snnifer, i schimbndu-i MAC-ul n cel nou, atacatorul va putea avea acces
legitim, muli administratori folosesc n continuare aceasta form de securizare, datorit
formei foarte simple de implementare. De aceea, aceast form de parolare este
necesar s se completeze i cu alte securizri enunate mai sus.
Tehnicile de generaia a doua (WPA, WPA2)

Avnd n vedere eecul nregistrat cu tehnica WEP, IEEE a elaborat standardul

numit 802.11i, a crui parte ce trateaz securitatea accesului la reea este cunoscut n
practic i ca WPA (Wi-Fi Protected Access). WPA poate folosi certificate, chei publice
i private, mesaje cu cod de autentificare (MAC), precum i metode extensibile de
autentificare, cum ar fi protocoalele de autentificare EAP sau RADIUS. Pentru a veni n
ntmpinarea utilizatorilor casnici sau de arie restrns, IEEE a dezvoltat i o variant
mai simpl a standardului i anume WPA-PSK (< Pre-Shared Key mode). n acest mod,
n loc de un certificat i o pereche de chei (public i privat), se folosete o singur
cheie sub forma unei parole care trebuie cunoscut de toi membrii reelei.
Apariia interesului i necesitii pentru administrarea centralizat a securitii

Odat cu apariia unor astfel de tehnici i metode avansate de securizare a

accesului la mediul de transmisie, s-a fcut simit i nevoia de a administra o astfel de
structur de autentificare dintr-o locaie central. Aa se face c tot mai multe
dispozitive de tip Access Point (echipamentele ce fac legtura dintre reeaua cablat i
cea transportat prin unde radio, avnd un rol primordial n meninerea securitii
reelei) pot fi configurate automat dintr-un punct central. Exist chiar seturi
preconfigurate de echipamente ce sunt destinate de ctre productor implementrii de
hotspot-uri (locuri unde se poate beneficia de acces la Internet prin 802.11 gratis sau
contra cost). Aceste seturi conin de obicei un echipament de gestiune a reelei, o
consol de administrare, un terminal de taxare i unul sau mai multe Access Point-uri.
Atunci cnd sunt puse n funciune, acestea funcioneaz unitar, accesul i activitatea
oricrui nod putnd fi atent i n detaliu supravegheat de la consola de administrare.
Apariia interesului i necesitii pentru integrarea cu alte sisteme de securitate

Imediat dup perfectarea schemelor de administrare centralizat a securitii n

reelele 802.11, a aprut necesitatea integrrii cu sistemele de securitate ce existau cu
mult nainte de implementarea reelei 802.11 n acel loc. Aceast tendin este natural;
cu ct interfaa de administrare a unui sistem alctuit din multe componente este mai

uniform, cu att administrarea sa tinde s fie mai eficient i mai predictibil ceea ce
duce la creterea eficienei ntregului sistem.

Figura 3.3 Necesitatea securizrii unei reele wireless

WPA a fost prima tehnologie care a facilitat integrarea pe scar larg a administrrii
reelelor radio cu cele cablate, deoarece se baza pe principii comune descrise de
standardul 802.1X. Astfel, o companie poate refolosi ntreaga infrastructur pentru autentificarea i autorizarea accesului n reeaua sa cablat i pentru reeaua radio. WPA
poate fi integrat cu RADIUS, permind astfel administrarea i supravegherea unei
reele de dimensiuni mari ca i numr de noduri participante la trafic (e.g. un campus
universitar, un hotel, spaii publice) dintr-un singur punct, eliminnd astfel necesitatea
supravegherii fizice a aparaturii de conectare (i.e. porturi de switch).